如何高效破解挖矿攻击难题？ ——不容忽视的公有云攻击事件入侵占比Top1场景原创

各位线上的嘉宾朋友们，大家晚上好，欢迎来到由腾讯云C时代、腾讯安全、麦思博联合主办，新基建创新研究院作为智库支持的第74期Co直播间，我是本次活动的主持人，来自CIO时代的刘晶。那为了全面助力中小企业的数字化升级，我们的中小企业在线学堂呢，围绕着中小企业业务需求，聚焦企业经营管理、应用工具、技术创新、安全底座四大需求场景推出了系列直播课程。那么本期呢，我们的就是我们今天的安全篇。近年来呢，随着各行各业数字化程度的不断加深，我们面临的网络安全形势也日趋严峻，勒索、病毒、挖矿、木马等各种新型攻击手段层出不穷，成为企业数字化转型过程中的拦虎。

那么企业该如何高效破解挖矿难题，尤其是技术能力相对薄弱的中小企业该如何做好安全防护？我们本期直播啊就将围扰如何高效破解挖矿攻击难题，不容忽视的公有云攻击事件入侵比例top one场景这一主题展开讨讨论，为此呢我们特别邀请到了五位行业专家，中国信通院安全所高工郑威博士，金融机构知名安全专家何肖先生，腾讯云安全服务应急专家高志鹏先生，腾讯云安全产品专家宗壮豪，腾讯安全服务产品经理王璐做客本期直播间，从攻手两个视角呢为大家演示和讲解如何高效破解挖矿攻击难题。那欢迎五位专家的到来我们的直播间呢，也为各位。

上的嘉宾朋友们准备了精美的礼品，在直播期间呢，我们也会抽取幸运观众送出由腾讯云特别提供的游戏耳机，触控氛围灯和限定公仔，欢迎大家啊，可以时刻关注我们的直播。下面呢，我们就开始今天的主题分享环节。当前，恶意挖矿已经逐渐成为影响最为广泛的网络威胁攻击，那么挖矿攻击的现状如何？我们目前在挖矿治理方面都有哪些政策支撑？有哪些新技术需要我们重点关注和防范呢？今天啊，我们就特别邀请到了中国信通院安全所高工郑微博士，那郑位博士呢，将为我们带来题为恶意挖矿趋势分析解读的主题分享，那我们有请郑薇博士，有请。从这个这个环境开始。这整个这个挖矿的这个动作呢，应该是从2021年，那么相关的高层有一些批示啊，当时呢，就提出要求打击比特币挖矿和交易的行为，那么随后呢，各部委啊，包括发改、工信、公安、网信等11个部委单位联合印发了顶层设计的文件，那么其中呢，就提出了要求加强虚拟货币挖矿活动上下游全产业链监管，严禁新增虚拟货币挖矿的项目。

加快存量项目有序退出等工作要求，那么这系列的工作部署呢？与顶层设计文件的出台，是为整个挖矿治理工作提出了一个基本遵循与依据。啊，这个是我们整个政策的背景，相关的环境。从挖矿相关的基本概念上来看呢？呃，矿产是比特币挖矿硬件设备的集合，矿池是矿工们算力的集合。那么具体的来讲，呃，矿池是一个开放性的全自动的挖矿平台，矿工将自己的矿机接入矿池来贡献自己的算力，共同挖矿，然后获得收益，那么越来越多的矿工入场挖矿的总算力越来越高。

单个矿工的产出变得不稳定，那么为了获得更加可观的收益，矿工们会联合起来与其他矿工进行竞争，那么由此就出现了矿石的概念。呃，在现阶段。个人挖矿已经不具备竞争的优势，那么矿池的形成也体现了从个人挖矿到专业集体挖矿的一个转变，它是算力竞争下的一个进化的现象。那么矿池诞生之后呢？由于其算力的占比较高，挖出区块链的概念较大，那么以个人或小矿场的身份逐步加入矿池获得奖励，并且依据其矿机的算力贡献大小来分配罚款收益。

从而为矿机的所有者带来稳定的一个挖矿的一个回报，那么由于呢，整个矿产的出现，加入矿池的个人在不断上涨的文化难度之下，其奖励的概率和数量不断下降，那么大矿涨的竞争优势就会明显突出，由于其吸引了大量的矿机加入，并且下一步呢，强化了大矿长的优势啊，进一步的这个这个凸显出其垄断的地位。那么从这个呃，这个比例图上也能看到几家头部的矿池，目前呢，是已经吸引了大量的矿产加入，其大量的矿产出现呢，又相继吸引了大量的矿工，那么整个头部的矿池呢，就已经占据了全网算力的大部分的资源。呃，以比特币为例，目前排名前五的矿池的算力基本占到了比特币全网算力的80%以上，那么这种被头部垄断的这个矿石资源的情况，同样也出现在了呃，像现在被合并的以太坊呃，狗狗币，莱特币等等这个呃相相相似的币种上面。那么从这个经验值来看呢，新兴的矿池短期内是很难去打破算力的垄断格局的。

那么下面也列举了一些这个，呃，虚拟的货币和矿池，大家感兴趣的可以搜索一下。现在可以谈一下这个虚拟货币的一些定义，那么尤其是这个加密货币哈，加密货币呃是从这个字面来看呢，它由这个密码学和货币组成，呃，它是基于一个复杂的数学加密原理来确保交易安全以及控制交易单元所创造的这个交易媒介。呃，所有的加密货币呢，都是以这个呃加密的去中心化的货币单位存在，那么可以在网络中这个参与呃者之间进行自由的交易和转移，那么截止到这个2023年的二暂。

呃，全球的加密货币的种类已经超过了2万多种，那么总的市值是超过了1.03万亿美元啊，最为著名的就是从零九年开始的这个比特币啊。那么客观来说呢，呃，目前这个学者啊，或者说链圈，币圈，包括监管部门，其实还并没有形成一个官方的或者说完全统一的一个概念的标准，呃，但是呢，呃，基本的共识就包括了这个币圈公认的呃，数字货币，其实这四个字就约等于是加密货币，这两者并没有这个明确的界限。那么在国内外来看呢，主流的媒体在报道的时候会使用加密货币啊这四个字居多。那么国内的权威机构来看呢？呃，有时候也会把这个比特币就约等于这个呃加密货币作为一个呃通用的一个代名词，呃，但从学术研究上来看呢，其实包括像呃腾讯的这种企鹅的Q币，还包括各类APP的这种签到的积分，还有一些直播平台的一些呃金豆啊等等，一定意义上其实也属于这个虚拟货币的范畴。

那么总体来看呢，以比特币为代表啊，虚拟货币主要包括的特征就是有四个啊。以加密算法为核心，去中心化、有购买力、可交易的流通。恶意挖矿。呃，对于普通企业与个人恶意挖矿通常与设备感染木马有关，那么恶意挖矿活动的常见来源主要分为四类，那么呢，一是企业的内鬼，包括政企单位的内部有人利用办公的资源和企业的电力进行挖矿，那么第二呢，是相关的一些终端木马攻击者利用呃网络的这种密码的爆破。呃，垃圾邮件啊，蠕虫的病毒啊，包括软件捆绑等手段来控制大量的设备啊，从而植入一些挖矿程序，那么第三呢，是一些网页嵌入的外换脚本啊，第四呢，是一些，呃，服务器受控啊，都表现为这么四种的不同的形态。

从挖矿的工作方式来看呢，呃，通常设备在感染挖矿木马以后，会表现出它的性能下降啊，设备过热，资源占比较高，能耗这个损耗加剧。那传统的挖矿呢，包括了呃，基于浏览器的驱动式的这种页面挖矿和这个二进制文件的恶意挖矿。呃，在新的这个技术形态下来看呢，我们可以近期重点关注一下云挖矿，那么云挖矿呢，从这个字面上理解啊，将设备的这个挖矿相关的一些硬件放置在远程的数据中心，从而进行挖矿的一些活动，在这个云挖矿的这个活动当中呢，其实用户是不需要去购买或者维护挖矿设备的。

啊，他需要通过租用。这个专用的这个云挖矿设备服务商提供的算力来参与挖矿的活动，那么通常呢，这些云挖矿的服务提供商，如呃等等。他将会。呃，把他自己大量的矿机设备部署在远程的数据中心，然后将这些算算出给这个呃投资者，那么一般来说呢，有三种的云挖矿的形式，呃，第一种是租用这个矿机。由租赁用户啊，这个向这个供应商啊，租赁这个托管的矿机啊进行挖矿，那么第二种呢，是叫做虚拟托管，那么租用并且自己创建这个虚拟专用的这个云服务器，然后安装自己的这个呃文软件。那么第三种呢，就是租用算力，它就不需要租用专用的物理或者虚拟机啊，直接使用来自远程数据中心的共享的算力，那么租用算力呢，目前也是这个最受欢迎的一种云挖矿的一些方法。

呃，云挖矿的这个优点呢，是免去了投资者购买和维护挖矿设备的呃，繁琐的流程，提供了更高的算力，更快的挖矿与变现的速度，但缺点呢，是它的这个算力成本不低，因挖矿服务提供商呢，通常要收取一定的服务费用的比例，因此投资与收益需要进一步的把握相关的平衡。下面是一些呃，态势分析。呃，由于这个报告呢，目前2022年的部分还没有对外这个来公开，那么感兴趣的同学可以关注一下像CN这一类的公众号，来看看最近的一些数据，那么我们基于这个过去的一些研究积累来看呢，呃，我国的整个挖矿主机的通信那依旧是非常的活跃的，挖矿的问题呃，依旧很严峻。

那么大量的矿池存在于海外，那我国的矿池部署的占有量呢，确实也不低，那整个矿池的这个增长给资源消耗的问题带来严峻的挑战啊，那么以下的两个图呢？呃，是节选资报告的一些内容啊，大家有感兴趣的可以关注一下啊，包括二二年计价发布的一个年度报告。这个统计的页面呢，是关于一些活跃的挖矿组织以及木马家族，呃，由于利益的驱使呢，与勒索软件网络与数据安全的犯罪业务相比，恶意挖矿的攻击成本更低，收入更加直接。那么以下呢，是一些活跃的一些矿挖矿组织以及监测发现的一些呃，常见挖矿木马的家族啊，可以供大家参考。啊，传播的方式。呃，总的我们研究和统计下来呢，常见的挖矿木马传播呢，分为呃八种，那包括了钓鱼邮件的传播，网页和浏览器的插件的传播，呃，软件捆绑下载器的这个传播，还包括加目如这个网络传播啊，通过一些既有的一些网络安全的一些漏洞进行传播，还有一些软件供应链上的一些传播，以及云容器的传播和移动存储介质的一些传播。

呃，我们来看看这个常见的利用漏洞，以及它相关的一些攻击流程，呃，与传统的网络安全攻击路径相似啊，我们可以重点关注一些威胁情报以及系列的CVE的漏洞，那么通过常见的或者这最近爆出的一些可执行命令的一些自动化漏洞，然后我们可以利用脚本来获取主机的控控制权，然后登录到主机啊，直接下载远控的一些木马，然后通过执行脚本进行挖矿进程的部署啊，隐藏还包括可以清洗一些痕迹啊。

呃，万花木马呢，同时呢，是为了长时期的这个在服务期中驻留啊，通常也会采用这个对抗的技术，如呢，他会进一步的修改相关的任务计划，会修改防火墙或者一些IPS ids，一些防护设备的配置表，然后通过修改系统动态库的一些链接，然后从而能够保障自己的进程的稳定性，但它的相应的一些恶意和非授权的操作呢，就会导致业务中断啊，相关的一些安全事件的出现。从挖矿的这个发展趋势上来看呢，呃，呈现出这四种不同的态势，那么一是呢，虚拟货币的价格激增，那么新增的这个挖矿的手段不断升级，将会是长期处于一个攻防对抗的一个状态。那么第二呢，呃，市场上也存在一些黑吃黑的一些活动啊，呃，中企呢，还是PK硬实力来争夺计算的资源，那么第三呢，工控的系统是值得关注的，由于大量的老旧设备啊，但是呢，工业系统又具有丰富的电力资源，所以基础设施相关的工业系统更容易成为外矿对象的这个攻击。

啊，第四呢，是作案的方式升级啊，这个手段也会更加隐蔽。包括像云挖矿的新的形态是值得我们关注的。啊，以下和大家分享一下挖矿所带来的一些风险的影响。呃，首先是耗费电力，呃，挖矿活动呢，它不仅仅是简单的蝴蝶效应，而是直接的影响了碳达峰，碳中和的国家的战略，整个挖矿的活动会耗费大量的电力资源啊，我们以比特币为例。比特币挖矿的耗电量其实是接近了全球所有数据中心消耗的能量的总量。那么其消耗电量，而且呢，是处于一个上升的一个状态，呃，比如以这个二一年的五暂一个时间节点，那全球比特币挖矿的这个年度的呃耗电量大约是这个呃134多的这个太瓦时，那么如果呢，把整个这个比特币这个比作一个国家的话，那么它这个能量的损耗在全球的排名中会到27名，那么也根据呃一些研究院所，研究院所的一些论文的显示呢，就如果在没有任何政策干预的情况下，那么我国境内的比特币产业。

其年能源的消耗预计在明年2024年将达到一个峰值，大概在300太瓦时啊，太瓦一太瓦时呢，是差不多是约等于10亿度电左右，那么这个300太瓦时呢，这个所产生的这个能源损耗其实是相当于1.3亿吨的碳排放，那么这个规模呢，基本上是相当于一个欧洲的。呃，意大利或者是整个。

石油资源丰富的，像沙特阿拉伯等地区的这种整个年度的温室气体的排放量，那么这个也是严重的影响了我国的碳达芬碳综合的这么样一个战略目标。整个虚拟货币呢，呃，挖矿的一个行为一定意义上是乱的经济秩序的，因为虚拟货币是基于这样的，呃，去中心化交易，缺乏了稳定内生价值等特点啊，它为非法跨境啊，转移资产、勒索、洗钱、传销等违法违规的犯罪活动提供的非法渠道，也影响了国家的外汇管理制度，金融相关的制度啊，给监管部门规范市场，维护金融的稳定性带来较大的风险。那么如图所示呢，近年来这个涉虚拟货币违法犯罪的案件也在逐年的攀升。从这个网络安全风险的角度来看呢，这个虚拟货币的挖矿呢，直接危害了系统的相关的可用性，那么从间接上来看呢，也增加了一系列的像数据泄露，勒索病毒，拒绝服务，还摧毁了一些防御的攻击手段啊，这引发了这个综合的一个安全的风险。

那么从企业的视角来看呢，恶意挖矿呢，也直接会导致企业的经济损失，那么一方面呢，是损害挖矿的设备啊，包括一些损耗一些电力的资源啊，会加速设备的老化，那么第二呢，是影响了业务的中断啊，发生了这种大量的类似数据泄露的一些安全风险，那么第三呢，在整个产业链里啊，像显卡等一些设备部件的翻新，也容易重返到这个硬件市场，那么也会影响一些真实的一些采购需求。呃，以下呢，是一些安全防护的思路。从这个整体防护的思路上来看呢，从监测的识别到检测、溯源处置，到持续性的安全运营模拟。

挖矿木马路径的过程，进行风险分析与应对测试的应对措施的一些分析，呃，包括我看到后面的嘉宾里，其实还有腾讯安全To B的一些业务团队，那相信也会有一些产品解决方案，呃，那大家可以再持续关注一下。那么从监测识别的角度来看呢，我们也是建议用好威胁情报，那么结合矿池、矿机、矿产相关的IP域名进行实时的监测，那么针对其特性的协议与流量进行识别啊，从而进行解析的分析。那么从分析检测的角度来看呢，我们可以将挖矿相关的安全事件进行自动化的编排，那么从而形成联动的响应与检测处置的一个自动化的机制。那么从持续化运营的角度来看呢，我们也可以结合传统的网络与数据安全防护的逻辑，来叠加挖矿的特色场景，来形成协作整体的一个综合解决方案。

在下一步的工作对策建议方面呢，呃，对于监管部机构而言啊，一方面呢，是要加强政策的引导，关注底层设计与监管的体系。那么另一方面呢，要形成监管的合力，那么也是建议包括网信，工信，公安，像能源啊，金融等等各部门也会加强协作，那么第三呢，呃，我们也是呃，建议相关的部门啊，包括地市督促责任的一些落实落到实处，那么同时呢，也是建议说多开展一些宣传的安全教育的活动，那么从认知上呃，强化对挖矿的一些行为的一些防护。那么对安全厂家而言呢，包括像腾讯安全在内的团队，那么可以发挥一些技术与产品的优势来提供良好的解决方案，那么能够一体化的为客户啊提供一个好的产品，那么对企事业单位而言呢，要从管理和技术啊两个方面来进行强化，那么对于个人而言呢，呃，加强安全的意识，加强防护技术能力，来强化自身的网络安全的素养啊，并且呢，能够呃进一步的去杜绝挖矿相关的恶意的行为。

以上呢，是一些关于挖矿的思考和研究，那么期待和大家有更多的交流与协作。啊，主持人，以上我分享这些内容。接下来呢，是我们今天的第一轮抽奖，将抽取我们十位幸运嘉宾，送出由腾讯提供的Q瑞兔系列公仔，大家啊，现在就可以点击我们屏幕中央的大礼包参与我们的抽奖了。好的，我在看到我们的抽奖已经在进行时了。

恭喜以上这十位获奖的观众啊，请根据我们的中奖提示填写邮寄信息，后续呢，我们啊还有两轮的抽奖，也欢迎大家持续关注，那下面呢，继续我们今天的分享环节。在网络安全中，我们常说一定要知攻善守，了解攻击方式和思路，才能更好的应对。那么接下来呢，我们就从攻击的视角了解一下挖矿攻击的常见方式和路径，下面我们就有请腾讯云安全服务应急专家高志鹏，从攻击者的角度呢，为我们带来挖矿攻击常见的手法和演示，有请高老师。嗯，大家好，我是来自腾讯安全预定实验室的安全工程师，呃，我主要是从事云上的应急响应方向，然后今天很高兴给大家带来这个挖矿攻击常见的手法演示。呃，今天的分享呢，主要是分为三个部分，呃。

然后我们看第一个部分就是。什么是挖矿攻击？呃，什么是挖矿啊？以及什么是挖矿攻击呢？挖矿其实用专业的语来讲，是指透过执行工作量证明其他类似的挖矿算法来获取加密货币。这一段话呢，读呃，理解起来可能会比较哦呃，比较难以理解。然后我举一个简单的例子来讲。就是比如说给你一道呃数学题，然后如果你能在单位时间内做出来，那么你就会得到一定量的奖励，就嗯，举一个通俗易懂的例子来讲，呃，挖矿就是给你嗯，就是让你来做一道数学题，如果你能在单位时间内做出来，然后呢，你就会得到一定量的奖励，通常情况下，这个奖励就是指虚拟货币，而你做数学题的这个过程呢，它其实就是挖矿。

那什么是挖矿公积金呢？挖矿公积金就是在用户不知情或者未授权的一个情况下，来占用受害者的一个系统资源和网络资源来进行挖挖矿，从而获取这个呃加密货币来进行牟利。嗯。啊，举个简单的例子来讲，就比如说你平时大家呃，工作中可能使用的一些个人PC，然后下载了一些第三方的一些破解软件，但是呢，这些破解软件实际上是捆绑了一些挖矿木马的一个呃后门的，然后呢，在你执行这些程序之后，那这些挖矿程序就会在你的系统后台，然后来占用你的CPU或者GU资源来进行挖矿，然后这一类的攻击呢，就叫做挖矿攻击。啊，然后第二部分就是挖矿的一个常用手法。呃，挖矿矿攻击的常用手法我主要分为了四类啊，就是呃，就是在一些比较常见的情场景下啊，嗯，主要第一类像一个应用捆绑，就是我刚才提到的，比如说去下载一些第三方的破解软件，或者是收到了一些钓鱼邮件，这些邮件它其实是捆绑了这些恶意的一些挖矿木马的程序，然后你一点击执行，那么就会电脑就会去运行这些挖矿木马。

啊，第二类呢，就是像我们常见的一些暴力破解，比说你服务器设置了一些口令，比如说123456这一类比较呃口的一些密码，然后这一类呢，通常会被公上到，然后被其然。第三类呢，像常见的一些漏洞利用，比如永恒之未授权访问这一类漏洞。那第四类是一些挖矿网，我们来逐一进行一详细的一个分析，像最常见刚才提到的一些呃应用捆绑的一些程序啊，这这篇文章呢是呃呃前几年嗯呃2020年写的一篇文章，就腾讯安全电脑管家发布的一篇文章，就是当时腾讯电脑管家家检测到就是是有大量的这种游戏私服大捆绑这个挖矿木马来进行一个呃传播，然后呃感感染的这个个人PC的数量也是非常不多的，比如说我们去下载一些。

这些程序啊，或者一些游戏外挂，会让你去掉一些杀毒软件，然后呢，然后在你的电脑上去执行一个挖，这个时候呢，我们其实是没有感知的，所以这对于个人的一个防护来说，其实也是非常重要的，就是不要去下载一些破解软件或者一些外挂程序之类的。呃，第二呢，是针对于像一些服务，比如说云上有一些服务，可能用户在使用过程中设置一些口令啊，比如像我们常见的呃，123456啊，Password啊这一类密码，它其实是呃非常常见的，然后假如说你的服务器放在公网上，被公网上的一些僵尸网络给扫描到，那么就可能会爆破，被爆破入侵，植入一个挖矿，像这个图里面就是比如我用一个力破解的一个工具，然后来对一台存在弱口令的的服务器进行一个爆破，然后呃，在尝试之后呢，最后爆破成功，然后大概的一个入侵径啊，这是一个最常见的一个入侵的一个途径。

然后下一类是呃，比如说啊，利用一些常见的一些系统漏洞，比如说啊，像前几年非常火的一永恒之南啊，或者是像去年非常的一个呃R漏洞，这些漏洞都是比较可以接脑器的一个权限啊，那么像嗯呃公网上就有很多像这种黑客，他就会拿着这种漏洞的呃嗯一叉，然后去扫描整个网公网上的一些存在漏洞的主机，那么如果你的机器存在这些漏洞，没有及时打补丁的话，它就有可能通过你的系统来嗯下发这些挖矿的指令，然后来进行一个挖矿。

这是云上非常常见的一种挖矿攻击的手法。啊，第四类呢，第四类是那个就是利用浏览器的JS来进行挖矿，这呃，这种挖矿工具的手法呢，其实在前几年是比较常见的，但是近年来其实基本上很少有人见到了，因为呃，他们是比如说你去访问的一些恶意的网站，它在它的网站里面呢，去插入了一种一些第三方的一些JS，那么你的电脑一旦访问这些JS，那么你的浏览器就会去加载实行，然后用呃通过你浏览器占用你的系统cpupu资源来进行挖矿，嗯，这一嗯，这一类挖矿其实现在已经非常少见了，主要是因为像这些恶意的挖矿的G，它其实已经被各大安全厂商或者一些浏览器给识别，所以这一类手法相对现在来说是比较少见了。

呃来到第三部分就是挖矿的一个演示，本来之前是有准去准备一些挖矿的一个服务器，但是因为呃确实因为年来呃呃上到去年开始，然后国家开始对这个挖矿的一个攻击，挖矿一个嗯就是政策上的一个打压，就是现在其实云上挖矿其实检测已经非相当严格了，所以我在准备环境的时候，其实也没有办法去获取到这些挖矿木马的程序，然后嗯也没办法执行，所以我只能通过呃讲解的方式来给大家嗯嗯大概演示一下这个挖矿的一个流程，这里我用了一个非常有名的team TNT的一个挖矿家族。

它是云上，呃，就是它是云上数量最多的一个挖矿家族，它的攻击手段，嗯，主要通过像利用呃未授权访问者未授权访这一类组件的漏洞，因为这些组件呢，通是没有设置密码的啊，那一旦被扫描到就可以直接通过，嗯。这些组件去下系统，然后来进行挖，像T可能一入侵后，他可能会去嗯，篡改你系统的命令，然后写入一些他们挖矿的一些，然后启动挖矿程序，然后他们不仅不单单仅是用你的机器来进行挖矿，它还会拿你的占用你的一些系统的带呃服务器带宽资源，然后来对外去扫描互联网上所有存在漏洞的一些主机，然后进一步的去呃利用，然后呢，像这类场景其实在云上是非常常见的。

然后下面呢，就是呃，之前我在准备环境的时候的截的一个图，这是我用了一个四核8G的一台服务器，那么如果你的机器被入侵挖矿之后，你可以用top这个来看一下当前的一个CP用率，比如像我这台机是已经被挖了的。呃，就是看一程C一点程是这个，呃，Kv temp face这个程序它占用了几乎系统所有的CPU资源啊，但是呢，这种程序它其实是可以伪装成一些比常见的一些系统命令的，比如你系统的一些也可能正常的程序，它伪装成你可能看不出来，或者有些它采用了一些更高的一些伪装方式，比如他做了一些ET或者O的预加载劫持，然后这种情况下你其实是没有办法看到，你看务正C际。

那么面对这种场景，我们该如何处理呢？然后像像我们实验室其实是完，我们是自己有开发一套工具啊，像我们叫这款工具，然后来帮助清理挖矿。啊，但是呢，目前这程序我们是没有开源的，就是我们是只是在帮助云市上处理这些挖矿程序，比如说我们会检测像常见的一些挖矿的一些可会去改的统命，这时会去调用正常的命令，就是没有被持过的来来进行一个检检测，然后我们会去检测一些高危的目录，比如像目录，或者是一些这些临时目录，都有可能是像挖矿木马他们常用的一些目录。

然后呢，像比如我这里里去程用一个。呃，这种情况下，其实你呃，通过我们正常的一些，比如像去看，可能你看到的就是认为是一些正常的系统服务，但是呢，实际上不是，它就是一个挖矿的一个进程，然后呢，甚至他还会去写入一些的定时任务，然后比如像做一些比如把命令了比。然后最后呢，就比如说还要去清理一些ize的这个，比如写入的一些，就挖矿他们写入的一个，然后整个流程清理下来，然后才能完全清理掉这个挖。

所以呢，然后最后比如说再去重装一些主机安全的程序，然后帮助你的这个系统来恢复到一个正常的情况。嗯，刚才我们是演示了一个挖矿，它一个大概的一个流程，然后呢，我们比如说现在我们作为一个防御者的视角，我们在遇到这种挖矿的场景下，该如何去处理呢？啊这个时候呢，其实我们作为嗯，就是腾讯安全，就是我们的主机安全，其实它后后台其实是有控制台，其实其实是有去记录这个挖矿的，它整个的一个攻击的一个行为的，比如像这个是我当时在在测试的时候演示的，呃，测试的时候做的一个截图，比如上我当时是通过这台机器去做了一个SH的爆破。我爆破成功之后呢，然后我去通过这台机器去，比如说一些下一些挖矿的指令，然后去做了一些哪些的操作，让我们在这里可以看到，这是一个明显的一个挖的一个工具的一个名。

我们可以通过这个后台，就是他所记录了所有挖矿的一个攻击流程，然后在这种情况下，我们可以很方便的知道，就是说挖矿他做了哪些事情。那我们作为。呃，作为防御的角度来看的话，我们就。就能很很容易的来把这个挖矿木给清理掉。然后呢，像我们云上这种挖矿，它其实是非常见的，基本上每天都有，但是因为我们现在对这个挖矿检测的力度其实是非常严格的，然后呢，现在嗯，其实挖矿的那个趋势已经，嗯已经少少了很多，然后呢，像我之前讲到的，像这些挖矿，它其实属于就是检测或者防御挖矿，它其实是我们应急响应的一个部部分，然后呢，但是呢，应急响应它其实不应该是成为一种常态，而是企业应该构建以评估、监测、应急为体系的一个闭环的能力，比如说像我下面这张图，是我们腾讯历史安全服务它的一个整体的一个呃服务的一个流程，其中其实像我们去清理挖矿，它其实。

就是应急响应这一部分只是其中的一环啊，像我们要做一开始一个呃，到保护，监测，响应，恢复整个流程，其实我们都会去帮云上的客户去做一个处理，然后呃，假如说云上的客户有遇到这种类似的挖矿的一些难题的话，其实我们可以帮助客户更好的去多少一些风险的一加固一些。嗯，好啊，我今天的分享就到这里，呃，感谢大家。那主持人我这里可以。从攻击角度为我们详细的讲述了挖矿攻击常见的路径和手法，而且结构各异，关系复杂，也因此呢成为网络攻击者们关注的重点领域。那么金融行业有哪些安全防护的实践经验呢？今天我们也特别邀请到了金融机构知名安全专家何晓何老师从防守的角度为我们分享金融行业数据安全防护策略，欢迎何老师。

那非常感谢主持人刚才的介绍，也非常感谢C时代的这次邀请，那这次呢，我给大家分分享的题目呢，是关于金融行业数字化啊，安全的这个防护策略，呃，这个题目呢，其实是我们长期以来一直在研究的一个课题，它呢也是根据最新的这个国家的这个这法律法规的变化，形式的要求，技术的发展以及监管行业政策的变化呢，在不断的调整和完善，它继承了一些我们以往网络安全的观念和理念，也根据数字化转型时机的安全保护要求呢，有一些针对性的适应性的调整，就是整体的一个定位。那今天给大家需要分享内容呢，主要分为三个部分，一个呢就是关于金融行业数字化转型大潮的这个整体趋势，第二个部分呢，我们会分析一下，就是数字化转型呢，给各个行业带来产业升级。

和这个机遇发展的同时呢，给安全带来的一些挑战和隐患，那么第三个部分呢，也就是基于我们在实践过程中研究了解的一些整体的这个呃，网络安全的丰富的体系和发展呢，同时呢，根据新的时期的这个安全的挑战的特征和变化呢，做的一些针对性和适应性的调整的内容，当然还带有部分对未来的期望和展望。这是三个部分的整要内容，在开始正式介绍之前呢，我也简单的跟大家分享一下我们理解的关于金融行业数字化转型，它带来的一些主要的变化，分析它带来的特征，以及可能给安全带来的一些影响，我然后呢，我们才可以呢，针对性的去呃研究和变化的这些我们未来的一些策略，这是整体的一些思考。那么什么是自字化转型呢？那个在业绩来看呢，它呢在近隔20年给整个的全球的这个经济和产业转型呢，带来了一些巨大的影响，那么从它的影响来看呢，业界比较通用的认知呢，其影响了不亚于工业革命起呃之来，呃那个200年来由于技术革新带来的呃三次三次变化之一，呃统筹们呢，数字化带来的影响呢，称之为呃工业革，工业革命的4.0，它的重要性呢，不亚于呃在18世纪末的蒸蒸汽机的发展。以及在二。

20世纪初呢，电气化时代带来影响，就包括上个世纪二啊70年代由于计算机发展带来信息化革命呢，对这个世界各行各业产业带来的这振型，那么从嗯，本世纪的第20，第二个十年开始呢，这个数字化革命带来的一系列影响呢，呃，促进了全球呢，可能工业革命以来的第四次的产业升级，因此呢，被称为这个工业革命的4.0，嗯，其实从这个全球来看呢，关于数字化并不是一个全新的课题，其实呃，全球的主要国家，像美国，英国，日本，欧盟，包括我们国家在20世，21世纪的第二个十年呢，都陆续开展了本国的关于数字化，呃经济战略转型的一些研究，也提出他的一系列的这个，呃法律法规啊，包括的一些国家层面的战略规划，像英国的这个数字现象，嗯，这个欧盟的这个数字新政等等。我们国家。

也是从这个呃二二十大前后呢，就已经把这个数字化转型呢，确立为国家战略的一个部分，从2018年呢，提出了这个一个中心的三个着力点，到2020年十十月数字中国的提出，那么呃那个2021年三暂呢，14户规划又提出了这个数字化转型的四项关键任务和数字化经济体系框架，这已经呢是越来越细，而且呢要求越来越明确，大家都甚至道就是在嗯上周刚刚结束的这个呃20大的二呃这个两会，呃今年的两会就正式正式提出了这。

这个要建立这个呃这中央的这个数字管理，数据管理局，它其实也是从组织和这个实际层面呢，国家开始将这个数字战略开始呃着手落地的这个第一个举措，这是大家看到这个数字，全球各大经济体对这个呃数字化举行的一个重要重要重视，那么对于数字化转型的这个内涵的认知呢，以及它的主要特点呢？其实目前呢，还是一个比较模糊的状态，各行各业都有自己的一些理解和探探索，那么比较公认的认知呢，是IM在2012年提出的所谓数字化转型呢，他们提出了一个相对比较明确的解释，就是以用户为核心，以改善用户体验为直接体现。

以数据和数据技术作为核心驱动，融合内外部资源，推动企业在组织流程，业务模式和员工能力的层面重构，实现了这个企业商业模式升级和再造。这里面呢，其实有几个关键词啊，大家可以把握，它其实带来的就是数字化转型的核心概念和核心特征，那么第一个呢，就是讲刚才讲的以用户和为核心，那么数字化转型的技术不论怎么应用，没有给用户带来直接的感受和直接的个价值创造呢，这个本身呢就是一种为转型，所以最终呢还是以市场和用户作为最终定义。第二个呢，就是技术驱动，呃，不同于过往的这个流程改革或者商业模式的改革，数字化转型的，呃，这个改革的核心驱动一定是以数据和数据技术作核心驱动的，没有数据剧性和数呃数据和数据技术作为核心驱动呢，本身它并不是数字化转件产型的这个这个真实的真实的目标，那么第三个呢，就讲到这个资源的呃融合，它一定是通过数据线改革。

则呢，推动了企业在这个什么啊组织流程，包括业务资源，业务模式，员工能力等方面的重构和融合，才能实现最终目标呢，是实现产业的升级和再造，最终呢是给用户带来最给这最后的这个价值创造和企业的提升，这是呃数字化核心的这个呃四个关键词在这给大家做了介绍，那么关于数字化转型的这个研究呢，其实各个行业包括一些呃研究机构也在不断的提出一些新的理念研究方法，那么这是garden特呢在2018年发布的数字化转型核心技术的成熟度，大家可以看到哈，从如果从技术驱动的成熟度来看呢，数字化技术向数据化转型所需要的这个技术，包括这个大数据啊，云计算呢，包括区块链呢，物联网等等技术呢，其实在呃，近几年已经是从一个创新的高峰期，已经就开始逐步进入平稳期，其实也就说明了就是数字化转型的这个技术基础。

已经逐步打牢，在现阶段呢，在未来的几年，它会逐步进一个逐步细化，深入跟市场，市场融合，然后跟用户直接接触的那么一个时期，也就是我们会在未来的几年，对数字化的转型呢，感受会越来越明显，哪怕是我们作为这个普通大众，那么也能够感受到数字化转型带来的直接冲击。呃，从金融界来看呢，其实数字化转型的概在念我们内部已经提了有蛮多年了，呃，像我相对来说呢，国外的一些银行会提的更早一些在呃，这这几张图呢，都是我们收集的，就是像包括新产的河南银行啊，汇丰啊，包括西班牙的BBVIVI行啊，他们已经在2010的，呃之后呢，就经开始提出了一系列的这个数字化转型的核心战略，呃，我们国家像招商、平安，其实包括我们的四大行已经在可能三四年前已经就把数字化转型作为了这个企业战略战略转型的一个核心的支柱和推手。

嗯。那么结合刚才对数字化转型的一个宏观的分析呢，从金融产业来看，我们的数字化金融机构数字化转型的几个典型特征啊，刚才呃给大家做了一个简单介绍，它基本和核心特征其实跟IM定义是有很多的契合，第一呢是数据秩序为核心驱动，第二呢是以客户的体验为导向，第三呢是要讲究业务和系统的全面开放融合，在这呢，相对于这个呃其他行业的这个不同的金融行业呢，它始终是作为一个国民经济的中枢，所以呢，它的产业的是呃呃内部的融合呢，呃这个融合呢，不仅仅是强调内部资本整合，更多强调跟业态，跟跟这个整个整个经济体系要进行全面的开放和融合，形成一个生态圈，这是呃，金融化领域的这个数字化转型的一个相对于其他行业的一个区别特征，那么最终目标呢，也是实现产型的产业的升级和转型，那么呃，从刚才分析的数字化转型。

这个几大特征来看呢，它有的特征，以客以以用户体验为导向，以数据知识为驱动，实现产业的全面开放融合，呃目标是为了升级和转型，那么这些核心的素质要求呢，也会给金融产业的这个产业的这个变革带来一些实质性的影响，这些影响呢，从整体来看，对金融产业来说的转型升级呢，都是有好的，呃好的影响和这个有利的一面，但是呢，大家都知道，往往呢，就是任何一次变革带来的这个机遇和风险并存的，从企业的发展来看呢，这个发展和这个安全呢，永远是一把双刃剑，它需要取得平衡，在数字化转型带来的一个新的这个技术驱动和产业升级的转型的一个同时呢，也会给安全带来一些新的挑战，和和和这个这个风险吧，从我们的视角来看，最简单的几个，呃，几个典型的特征，数字化转型的这个产业升级啊，它会带来几个几个典型的安全风险，第一是安全。

边界的模糊，这是呃大家刚才在这个特征中应该可以感受到的，金融行业的这个产业升级呢，数字化转型的产业升级，它强调与经济共同体，呃经整个的经济行业呢，要进行全面的开放和融合，一旦开放的融合呢，会带来什么？我们过去的以这个企业的网呃这个安全网络边界，内部环境为这个边界的这个呃安全保护措施呢，就会带来一些呃严重挑战。举举个例子来说，我们现在强调跟银行要开放，我们提供对外开放的API，包括我们的客户，客户呃信息和数据这些呢，都是在线上直接对外进行开放，支持这个生态圈的这个线上交易，那么这些东西呢，就打破了我们原有的这个以内部的企业架企这个企业网络架构为主的这个安全的防护的体系，那么安全的边界大家都知道，如果云有边界的安全防守比没有边界的安全防守呢，肯定要要简单多，那么在开放的模式下啊，网络安全和数据安全带来的首要条件就是安全边界的模。

户，这是这是第一个特点，第二个呢，就是身份认证的挑战，那么呃那个呃数字化转型的一个核心特征呢，就是以用户的体验为直接导向，那么用户的体验大家知道随着产业的转型升级，数实话就是呢，对用户形成这种包围式的这个这个支持服务数据要呃银行强调什么服务无所不在，那么对用户来说呢，他会在用任何场景，任何环境，就任何手段的这多种手段化的手段呢，来接入你的这个银行的这个系统和服务，那么一带来说呢，我需要在多种类型，多种类型的场景下来对用户的这个呃真实性，客观性，以及它的这个这个这个安全性进行保障和身份认证的识别，这是带来第二个挑战，第三个呢，就是模型的风险，在数字化转型过程中呢，由于产业的升级，提交提提倡这个精准决策数字化。

数据化啊分析，那么在这过程中呢，我们会大量的数据都会逐够变，变成模型体决，就人工的经验为主呢，变成数据化的模型来决策，模型本身是通过机极的训练而产生，它对某些决策来说呢，它是形成一种黑匣子的风险，那么过程中呢，这种这种人工的干预的缺少呢，它会带来一些模型本身的这个风险，这是关于数字化转型的安全挑战三个典型特征，那么针对这三个典型特征，我们应该如何防护呢？从我们的事情来看，那么对银行的安全管理体系会带来以下四个方面挑战，首先是全面的资产管理能力，在安全安模糊的安全边界之下呢，我们需要有更加清晰的这个资产管理能力，知道哪些资产的边界在哪，我们的资产有哪些融入了用户的生态圈啊，第三方的生态圈，那哪些呢是我们自己的这个网络安全防护的边界，哪些是我们要需要给客户提供的这个服务和保障，这是需要对全面的资产管理能力呢进行进一步的升级，第二个就是更灵活的安全标准，由于这个场景的复杂。

化生态圈的这个这个融合，它需要这更多更细的一些标准来支持不同场景的这个安全管控，那么如果没有标准的管控的，那安全一定会失控。第三方，第三方面呢，是可定制化的，是可定制化的安全输出能力，呃，在未来生态圈的扩展中呢，由数字化转型的驱动，我们需要更多的与这个外部经济体进行结合，那么不仅仅保证自己的安全，还有包括我们联动的第三方，我们融获的客户的安全，那么第四呢，就是与业务融合的安全分析能力，那么安全呢，也不总种强调于说系统本身，在业务经营过程中，我们要有更多呢对业务的这个安全保障和价值输出能力，这是未来安全体系的变化，那么因为这四个方面的个挑战呢，我们需要做一系列的这个转型和发展，那么第一个转型的发展呢，就是要更加更系的这个的SMB，那么也就是呢，我们要有更多的这个资产管理的这个数据，在这个基础上呢，我们需要对什么的资产，包括系统服务还有产品。

还有还有我们的工具进行更细腻度的定义，已经知道呢，我们一旦知道在任何复杂的场景下，对于这些这些定义的资产，一旦发生了工具呢，我们能够第一时间的响应，这是第一方面，第二方面呢，就是关于安全标准，这个模型化过网的标准呢，它是一个条目化的管理，我们在可定义的内部场景下，我们进行条目化的设计，设计各类的这个这个这个标准呢，只是内部员工执行，那么在未来的情况下呢，我们需要更多的适应数字化转型的复杂场景，那么条目化的场，条目化的这种标准呢，可能很难要求第三方甚至客户来按照我们的呃方式呢，来形成他的行为规范和管理标准，那么这样全呢，我们就把安全的一些实质变成一些可呃原子化的一些管理标准呢，然后根据不同的场景性组合，就从安全标准呢，从条目化进行模型化，那么第四个呃变化呢，就是安全的这个服务能力的这个变化，从安全的过去呢，我们更多安全是一种啊能力的。

服务模式在企业内部的安全是一个后台，也是个基座，它的很多的能力呢，需要。需要在这个呃，信息化系统建设的呃过程中，根据信自身的系统建设的这个特点呢，来定制化它的这个安全服务的一些产品，然后形成服务呢，保障我们内部系统运行的这个这个安全可控，但是在未来的这个数字化驱动下，在场景化的经营模式下，我们有很多要服务第三方的一些工具和服务，那么这些呢，就需要我们把已有的一些安全的产品，比如说漏洞的漏洞的这个挖掘能力，比如说那漏洞扫描能力，以及安全监测的能力，对流流量分析的一些能力，他并且行可对外输出的产品，呃，可以可以对那个第三方进行这个盒磁化的情况下呢，第三方只要简单接受我们服务，我们就能保证同样的产品，那么未来的安全呢，一定是在这个基础上呢，要跟业务进行融合。

进行把安全的个人的工具呃方法变成了一系列的这个可定制化的产品，根据不同场景呢，进行颗粒化原则化的打造，然后定制到个人的场景去形成的安全性服务器产品的这种管理模式，那么未来呢，更一个进一步的发展的就是关于这个用户行为分析的一些一些一一一些研究，那么随着场景的变化呢，我们不可能使不可能确保所有的场景下没有呃那个性怀恶意的这个攻击者，那么这些攻击者他的行为模式呢，呃，他的行为是掺杂在的这个呃形形色色成千上万的这个正常的用户交易过程中，让用户的交易呢，它已经变成数据化，隐藏在这个呃这个呃这个海量的数据和流量当中，我们需要通过海量流量和数据分析呢，发现中这些化胸怀恶意的这种攻击者，他们一些异常的行为来发现出可能带来的风险和攻击，这就是未来的一个基于这种呃，这种业业务分析模式的这种用户用户行为分析来。

给跟安全和业务相结合的模式，呃，今天呢，就是我给大家简单的分析这个我们对于未来中化转型下的安全保护的一些思考和未来的一些展望，我的分析呢，就这些内容啊主持人。好，感谢何老师刚刚带来的精彩分享，为我们详细的介绍了金融行业数据安全的防护策略和实践，那么接下来我们线上的嘉宾啊，其实也有两个小问题想请教一下何老师，我们先看第一个问题哈，因为这次直播呢，是咱们中小企业在线学堂的系列课程，我们大多数的中小企业呢，由于规模小啊，资金少，一般没有非常专业的安全技术团队，那何老师因为您有非常丰富的安全建设的经验，您觉得中小企业要如何去做性价比更高的安全防护来保护它的数据资产安全呢？

呃，从中小企业角度来说呢，它虽然它的这企业规模会较小，在安全上的投入和这个人员也会相对整体资源来说会偏弱一些，但是呃，整体来说，安全防护的体系的理论呢，应该还是大小大型企业和企业中心没有太大的变化，从中小企业来说呢，呃，我觉得最好的防御体系呢，应该就是采用这种从边界防御逐步到重层防御的状态，呃它的状态呢，首先就是说你要识别自己的这个网络安全边界，中小企业的很多的带来一些困难呢，其实并不是呃安全团队的人员缺失或者资源缺失，而是由于它的内部的本身的基础管理不到位，会导致什么呢？它的安全边界很难进行规范，这导致举个例子来说，像我们大企业会要求比如说员工上网，内外网上网的这个终端是设备隔离的，但是对于中小企业来说，它往往就是内外网终端是混用的，在这个内外网边界的这个混，这个这个模糊的情况下。

就很容易带来一系列的安全风险，但是如果它遵循一个起码的边界防御，把内豹网隔离开来，可能就能够起到80%的这种防攻击效果，在这个基础上呢，它可以再根据自己内部的企业呢，不一定像是大企业一样对内部的网域进行这个层层隔离，实际上很细腻度的控制，它可以简单进行这个比如说DMG的划分和内网的区分，能够在一定程度上有效的就阻隔或者延缓攻击者也是很有效的手段。其实我的个人认知呢，从呃，无论是大企业还是小企业，在安全的基本理论上，它是学徒同归的，也是理论可以共享的，更呃，更需要的就是什么呢？在中小企业，它可能在这个基础管理的规范性上要逐步的予以强化，对于一些基本的安全规范予以遵遵循和贯彻的话呢，它往往能够起到非常性价比高的防御效果。啊，主持人好，感谢何老师的解答，那第二个问题呢是呃，其实我们现在看到像gpt啊，像AI这样的技术非常，那何老师您看啊，就是我们的C呢，其实也要与时俱进去学习和了解最先进的技术，如何去保护我们企业的，呃，数据安全您能谈一谈啊，我们应该企业应该要如何利用最新的AI技术来进行我们企业的安全防护吗？您也谈谈您的观点。

啊，你看这个这个问题非常好，因为其实我本身专业并不是做安全的，我其实我在农行的呃职业生涯的全半段大部分时间是放在呃大数据领域，呃从我的角度来看，其实现在这最近最火的那个的gpt，它本身并不是一种变革性的技术，它是一个基础技术的累进，从现在来看呢，其实呃中国呃中呃呃中国很多的一些呃对差的GBT的基础技术其实是有积累的，Chadp gpt呢，也并不是可能变成一个独家的爆款产品，而最难的呢是Chad gpt，它更新了原有搜索引擎的一些简单搜索技术，然后堆积了大量的计算资源，它能够在线进行实施的这个呃，这个自源语言的自源语言的ni就俗成了NLP的这个分析和处置，才能达到这样让人经验的效果，某种程度上呢，它即使是过去十几年自源语言处理和搜索引擎技术十几。

发展的一个积累产生的一个量变引发质变，所以从这个角度来说呢，它并没有改变过去这个人工智能技术发展的一个呃一个原有的径，它只是一个应用的创新，这个角度来说，那么利用GT来进行这个安全领域的这个呃，这个呃这个应用呢，其实更多的它能够帮呃安全领域解决的还是它本身的一个定位，它是一个呃更加搜呃便捷的这个搜索引擎和这个呃资料分析和资料分析和这个呃处理的这种这种人工智能模式，它能够把以前的简单条目化的这种搜索引擎技术呢，根据语义语义和资源语言，语言的这个分析呢，能够针对性的进行信息的这个整合和呃整合和集成而已，这样的话呢，能够帮我们这个从业整合在日常进行这个，呃，这个安全技术分析和研究上呢，节省大量的人力，他本本身并不可能对我们安全行业产生这个颠覆性的影响，这是我个人的一个理解啊，主持人好感。

谢何老师啊，因为时间的关系啊，那我们就选取这两个问题来请教何老师啊，也再次感谢何老师带来的精彩分享和对我们线上问题的一个解答，为我们分享了中小企业安全建设的方式，以及AI技术在安全防护中的创新应用，感谢何老师，谢谢，谢谢你好的，谢谢主持人，那接下来呢，就是我们今天的第二轮抽奖，这轮抽奖呢，我们会抽取八位观众，送出三个控氛围灯和五个短额公仔，首先呢我们先来抽取氛围灯，那下面呢就有请我们现场的观众啊，点击我们屏幕中间的大礼包就可以参与我们的抽奖了。

好的，那我们恭喜以上三位中奖的嘉宾，那第二轮呢，我们就来抽取我们的短额公仔，嗯，那请我们的工作人员再把我们的大礼包放到我们的屏幕上。点击我们屏幕中间的大礼包呢，可以参与我们这轮的抽奖。好的，恭喜以下五位的中奖嘉宾啊，请大家根据我们的中奖提示来填写邮寄的信息。再次恭喜以上八位我们的中奖嘉宾，下面呢，我们继续今天的主题分享，随着越来越多的企业逐渐上云，云原生环境中的各类安全风险也日益增多，那么我们的企业该如何进行云原生安全建设，防范在云上的挖矿攻击呢？今天啊，我们就特别有请到了腾讯云原生安全产品专家宗壮豪为我们分享云原生安全挖矿场景的最佳实践，欢迎宗老师。

哎，大家好，能看到这个呃，PPT界面吗？可以的，您可以开始了。嗯，好的，谢谢主持人。啊对啊，线上的朋友们大家晚上好啊，我叫钟壮好，然后很今天很高兴今天有机会跟大家来分享这一个云岩生安全防挖矿的这一个最佳实践啊，然后呢，刚刚和老师的一个分享中，有关于这一个AI技术在安全啊方面的一个应用，然后呢，腾讯的这个主机安全呢，也是基于这一个A技术进行开发的新一代啊主机安全防护系统，然后我们一起来看一下它是如何去对抗这一个挖的。

对，然后我们首先从这一个呃来看一下，就是针对云上机器啊，它这一个挖矿病毒的一个特点，然后呢，从攻击角的一呃，攻击者的一个视角来看呢，就挖矿呢，他需要这一个大量的一个算力的一个资源，那攻击者要做的一个事情呢，就是在短时间内啊，拿拿下更多的一个服务器啊，然后呢，从这一个防护的一个视角来看啊，我们会发现黑客呢，每天都会啊使用这种自动化的一个工具，然后批量的对云上的一个资产进行扫描，然后呢，再利用这一个弱密码啊，或者服务器的一个漏洞，然后去拿下相关的一些权限，比如很常见的就是啊，我们会利用这个radius的这一个未授权访问漏洞去进行挖矿啊，然后呢，拿下一定的权，拿下权限之后呢，那就会黑客会自动的去啊下。

啊，这个工具工具会自动的去下载这一个样本，然后给这一个挖矿样本赋予权限，然后去执行这一个样本啊那执行完样本之后呢，服务器就会连接到我们的一个连接到黑客的一个矿池啊，那服务器的一个CPU资源啊，就会有飙升的一个情况，然后为了啊持久化的去啊做这一个挖矿的一个动作，那这个自动化的一个攻击工具呢，也会把这个挖矿的一个进程啊写入到我们的一个计划中里面去啊那同时呢啊，为了会拿下更多的一个服务器啊，那通常在攻这一轮攻击里面，它还会继续在内网做这一个横向的一个移动，然后去啊做扫描，然后开启下一轮的一个攻击。啊。那看完这个呃挖矿呃攻击的一个特点之后，我们来看一下腾讯云主机安全是如何去防护的啊，那腾讯云的这一个主机安全呢，它的一个整体思路是从这一个预防啊，防御检测和响应这几个阶段啊，去构建完整的一个安全防护体系，那主要的一个逻辑，其实也是一个事前事中还有事后的一个逻辑啊，那在预防的一个阶段啊，我们会啊帮助客户去梳理出啊全量的一个资产啊，构建我们的一个作战地图，那接着呢，需要会找出我们所有资产的一个薄弱点，比如说啊，哪个机器啊存在补丁漏洞啊，或者是说密码或者机线配置不合规等等的一个情况，那找出这些问题之后呢，还会提供。

啊，提供对应的一个详细的一个修复建议啊，供用户去闭环修复，然后呢，对于啊，对于这些风险的一个扫描啊腾讯云主机安全呢，它是是是会有一个A啊是运行在客户的一个服务器上的，所呢它的一个扫描是白盒的一个形式去扫描，所以呢，针对各种风险呢，它的一个发现是会非常的一个精准的啊，那接下来在防御的这一个阶段，那主要是啊去针对外界的一些啊攻击，做主动的一些拦截啊，比如说啊对核心文件的一个监控啊，然后我们的一个漏洞防御。

等等的一些功能啊，那在检测的一个阶段啊，我们是通过这一个多锚点实时监测的一个方式，然后来及时去发现啊黑客的一些入侵攻击行为，比如说他呃去做一些暴力破解啊，或者做对外的访弹啊，访问一些恶意的一些域名，矿石地址，还篡改我们的计划任务等等啊这些操作，那在响应的一个阶段，那我们主要是对啊黑客的一些攻击做一些应急处置，然后去做阻断他的一些攻击的一个行为，同时呢，我们会提供一些原始的日志啊，供客户去啊分析溯源那。

那在此之上呢，我们其实我们有一我们旗舰版的一个主机安全，它呢其实也是会自动的去帮我们把整个攻击链给还原出来的啊，那针对于啊，有些客户来讲，他是给快速的去啊，知道我现在我的哪些资产被攻击了，以及黑客在每台机器上做的哪些动作啊，然后可以帮助我们去啊，去知道我们整一个安全防这一个建设存在的一些薄弱点啊，然后去。嗯，加强我们的一个建设，对。然后诶，接下来我们就按啊分步骤去啊去看一下，就是我们啊组机安全，针对这一个啊挖矿是如何落地的那啊第一点的话，首先呢，是这一个A润的一个覆盖啊，就我们的这个组织安全产品呢，它是一个CCS的一个架构啊，需要在服务器上去装一个A啊然后目前我们的一个产品呢，是可以支持这一个啊混合云管理的，对对对常见的这一个64位的一个操作系统都是兼容的啊然后腾讯云的一些机器呢，它是不需要手动去安装A准啊开通授权之后呢，它就会自动安装啊那啊这些A人覆盖完之后呢，我们的一个诶就就会自动的去啊梳理我们的一个主机的一些资产，以及对我们的一个啊漏洞补丁和机线去定时的一个自动的发起扫描，然后呢，我们就可以知道我们整。

体的一些资产的一个风险状况啊，那同时呢，产品也会提对针对这些存在的一些风险啊，提供这个精确到命令函级别或者这一个啊文件级别的一个修复建议，然后协助用户去做这一个闭环的一个修复，然后降低被入侵的这一个风险啊，那同时呢。

呃，在漏洞这一块，就是我们旗舰网的一的一个主机安全，它是对部分漏洞可以做这一个自动修复的啊，然后可以大大的降低就是啊，有些用户就是在修复漏洞这一块的一个复杂度。对，然后那到第二阶段的话就是诶，我们把所有的风险都修复完成了，那整体的一个安全防护水平在一个比较啊良好的一个啊水平之上啊，那这一个业务正常运行的一个过程中嘛，也会遭受来自外界的各种攻击，那这个时候就是啊，我们这个产品有像入侵检测啊，核心文件监控啊，病毒木马查杀等等的一些功能，会从服务器的一些进程啊，啊文件呢，还有网络啊等行为来发现针对服务器上的一些攻击啊，是否存在啊挖矿等等的一个情况啊，然后呢，我们的这一系列的这一些啊检测功能呢，它默认是开启的，而且有内置的一些规则，那对于用户来讲呢，它是没有啊，很复杂的一些配置的，就是可以理解为开箱即用这样子啊，然后呢，同时我们的一个入侵检测这一这一块功能上啊，产品呢，它也是集成了整个腾讯。

聚集团的一些能力啊，比如说我们集成的呃，TV引擎啊，还有我们的一个威胁情报啊，还有内部的一个AI引擎啊等等的这一些能力，然后呢，当我们这一个检测到就是啊有这一个攻击啊的行为落地的时候，比如说哎，我有挖矿样本落地，或者说我知道我的系统计划任务被修改了啊，访问了某个啊矿池啊，那这个时候呢，我们产品是会啊马上实施的一些告警，同时也可以支持自动的去隔离这一些样本，然后呢，去绘制出啊完整的这一个攻击链，那客户啊，从我们这一个呃攻击链图呢，就可以直观的看到就是受攻击的一个范围，以及就是啊攻击者都做了哪些操作，然后针对性的去做这一个修复。

然后以上的这些内容呢，是关于就是主机针对这一个挖矿的一个防护啊，然后接下来我们来。看一下就是啊，容器安全是啊，如何就是防着一个挖矿的就是啊，然后因为伴随着这个客户容器业务的一个增长啊，然后黑客呢，慢慢的也将这一个攻击啊，瞄准了这一个容器啊，比如说在二一年的时候，PPA的一个研究人员就发现，像多个HUB的一个官方镜像库里面就有几十个镜像啊，是被植入了这一个挖矿病毒。啊，以及说某著名的这一个新能源企业，它的一个K8S集群也被黑客拿下啊，然后被用来挖矿，那腾讯云的一个容器安全呢，它其实是啊，共用了我们主机安全的一个A啊，然后也是支持这一个混合云管理的，它的一个产品能力呢，跟我们的一个主机安全呢，基本是一致的啊然后呢，啊，容器安全产品呢，它的一个整体理念呢，是想通过就是啊镜像管理啊，集群检查，运行安全和资产清微隔离等六大功能呢，然后去围绕着这一个容器业务上线的三个阶段，然后来去实现对容器业务安全的这一个全生命周期的一个覆盖。

啊，那这句话怎么理解呢？就是哎，我们都知道就是容器业务，它上线的一个简单流程可以认为就是啊，把开发构建出来的一个镜像，然后部署在带有集群的集群环境或者容器环境的一个服务器上，那就是啊，我们就相当就可以把我们的一个业务啊开放给对外去访问了啊那这个过程呢，其实它分为三个阶段啊，第一个是构建，第二个呢是部署啊第三个呢是运行，那这三个阶段呢，其实它都有哪些风险可能被存在，被利用，然后进而被黑客，呃，被植入挖矿病毒，这样子的一个情况呢？对啊，首先第一个阶段呢，就是在以构建阶段，这一个阶段呢，就是开发写镜像啊，那开发写镜像呢，它其实是在啊基础镜像之上去做这一个开发的，那这里面其实就存在两个问题啊。

一个呢，就是诶我们如何去确保，呃，基础镜像呢，它是安全的，对，因为前面我们提到嘛，就是do它的一个镜像仓库里面都有镜像，诶被官方镜像都被植入了挖矿病毒，对不对？那第二方面呢，是因为研发呢，其实它更多的是关注这一个功能的一个实现，对于安全相关的一个事情，他不会有过多的一个关注，那这个时候呢，他在开发的过程中呢，就可能会引入啊有漏洞的一个组件，或者说在我们的一些啊都会发文件，或者文件里面写了一些明文的啊信息，那这些信息呢，就可能被黑客去利用，然后进而被攻击啊，这是构建阶段可能存在的一些风险情况，然后被攻击，那第二个第二阶段呢，主要就是。

它存在的一些风险呢，主要是容器运行的一个底层环境的安全问题，那比如说诶KS啊，或者doer Hu等这些软件，它的一些配置不合规，或者说软件本身存在些漏洞，那也是容易出现被攻击的一个情况，而这种攻击呢，会更加就会更加严重，它往往比单个镜像写的不完全更加致命，为什么？因为通过这种漏洞来攻击的话，它很容易导致整个节点或者。

啊呃，某个节点或者整个集群实现了啊，比如说KS的一个API，呃，接口未授权访问漏洞，或者乱逃逸的一个漏洞，那第三个阶段呢，就是在业务运行时啊，这个来自外界的各种扫描攻击啊，那这个想必大家都比较清楚了，可能跟做主机安全的这一个运行的这一个是会比较相似的，就黑客因为针对主机的一些攻击，其实在容器场景下也是很很适用的，比如说利用漏洞来攻击啊，攻击完之后拿到权限植入这一个挖矿病毒木马啊，然后再去做横向移动啊，然后再逃逸到数据机等等的这一些操作，对，然后接下来我们就看一下针对这三个阶段我们应该如何去处理，然后从而来避免去被挖矿这样子的一个情况啊，比如第一个阶段是啊构建阶段，那这个阶段我们主要要做的是对于镜项风险的一个管理啊，那在这方面我们的一个。

啊，实验经验呢，就是啊，要每天然后自动的去对我们的一个仓库镜像，还有本地镜像啊，进行全面的一个扫描，然后对于存在一些风险的一些镜像呢，我们要设置一些规则，是不允许被拉取到线上环境的啊，以免被黑客去利用啊那啊那这这里面呢，就是举几个例子啊，比如说镜像它是存在病毒木马的风险的，好，那它是一定要去啊马上修复的啊这种是。呃，不能去排优先级的，那第二种呢，就是针对就是有漏洞风险的一个情况啊，那这一块的话，我们就是。我们产品啊，是会对所有的一个漏洞都提供了多种的一个标签，比如说这一个镜像呢，它是啊可远程利用的啊，或者说它是存在一叉P的等等的这些标签，以及诶对漏洞打一个风险的一个评估值啊这一些信息，然后供用户呢，去筛选出我这一些漏洞啊要修复的一个优先级啊，那呃用用户呃筛选出要修复优先级之后呢，我们产品也提供了呃很详细的一个修复建议，然后客户可以照着这些步骤啊，一步一步的去做这些漏洞的一个修复啊，然后呢。

在某些就是客户呃，用户里边可能有些漏洞呢，他是由于业务的一些原因啊，他无法进行修复的话啊，我们产品呢，也就是提供了这一个漏洞防御的一个功能，对，那这个功能是基于虚拟补丁技术去开发的，然后呢，是复用我们A润的一个的一个的一个，呃这一个组件，然后呢，它可以自动的去拦截啊，针对漏洞的一个攻击啊，这个是针对漏洞风险管理的。

对，那第二阶段的话主要是啊第二阶段是部署阶段，那这个阶段我们主要要解决的是对于啊集群环境它的一些啊安全风险，那啊针对集群环境它其实是存在啊，主要是存在两大方面的一些风险啊第一方面呢，就是啊K8集群环境的一些组件漏洞啊，那第二方面的话是就是这些集群环境的组件的一些配置啊配的是不是合规，是不是啊安全。啊，主要是这两方面，那我们的产品呢，是可以支持对这些组件的一些漏洞啊和配置做一些定期的一个检查，那检查完之后我们会提供这些很详细的一个啊检查内容，还有精确到这些文件级别和命令行级别的一个修复建议，然后供啊用户去这做这一个闭环的一个修复啊。

对，然后那现在呢，产品啊，能支持的一些啊，已经内置了像CS的一个机线，然后可以对多可啊KS啊，镜信啊镜做这些合规的一个检查。对，那第三个阶段的话，是这一个啊运行的一个阶段，那这个阶段呢，其实我们在前面的两个步骤呢，是会把相关的一些高风险或者中风险啊都消除完之后呢，其实啊线上的环境呢，是会相对比较安全的，当然了这个时候其实也会来遭受外界的一些攻击啊，啊或者扫描啊，啊可能又出现了某个零带啊等等的这样子的一个情况，那针对这种啊运行的一些攻击呢，我们产品呢也会去。啊，实时的监测这个攻击的一个情况，然后做这一个自动的一些隔离的一个处置啊，然后呢，目前针对这一个挖矿病毒的话，我们主要有两两方面的一个两种检测方式，那一方面我们是依托产品啊，是依托了这一个腾讯云这一个分布的一个样品样本库，还有我们的一个威胁情报，然后去做这一个啊。

这一个病毒样本的五这样子的一个比对，那第二面是我们的产品是集成了腾讯安全实验的一个T，还有呃，AI引擎的这两这两个引擎，然后这两个引擎呢，是可以很有效的去查杀这一些啊，变形变种的这一些啊挖矿啊病毒。那除了这对于这挖矿病毒的一个检测之外，我们的这一个容器安全呢，其实它也可以支持像容器逃逸啊，容器反弹啊，还有高危命令等这一些恶意行为的一个检测，对，然后呢，其中这个容器逃逸呢，是在容器场景下很常见的一些攻击方式，对，因为啊容器逃逸出来之后是可以拿下啊数主机的权限，可以理解为我们拿到更多的一个算力资源，那这个时候对于黑客去啊利用机器来挖矿呢，他们会非常的有兴趣嘛，所以对于针对容器逃逸这里面呢，我们产品是也总结了有七大场景啊去做这一个防护，比如说像啊敏感路径挂载啊，特权容器啊，啊逃逸漏洞利用，还有这些啊，利用这一个多API接口去做逃逸等等的这些场景啊，我们都是可以支持去检测的。

啊，那以上这这个呢，就是我们针对啊容器安全的不同三个阶段，那去做这一个防护的一个思路。然后呢，呃，以上全部的话，就是我们这一个啊，云原生安全这一个端测产品，就是针对这一个挖矿病毒最佳实践的一个介绍，对，谢谢大家啊。

好，感谢曾老师的精彩分享，那以上的四位老师呢，分别从宏观攻击者、行业实践、云上防护四大角度讲述了应对挖矿攻击的关键，那接下来呢，我们就来学习一下，在企业层面呢，我们该如何借助最新技术前置位提升安全能力，降低安全风险，下面呢，就让我们有请腾讯安全服务产品经理王璐为我们分享基于攻防视角下的云防守能力建设，欢迎王老师。呃，大家好，我是腾讯安全服务产品经理王璐，嗯，然后今天很高兴有这样的机会能跟大家在这里做一些相应的这个分享，然后呃，其实都从我这个模块呢，更多还是说我们从一场安全运营的角度来看啊，我们应该怎么样去做好一些安全事件的防范，那么同时做好相应的这种加固，因为比如说像这种挖矿场景，一旦安全事件发生爆发以后，其实对于我们来说更多还是一种亡羊补牢的工作啊，我们如何把这个危害跟影响能够降到最低啊，能够及时发现，那么我们也希望说能够有这样的一套服务来去帮助用户能够在日常的过程中去提前去发现一些风险，那同时一旦有安全的这个风险事件或者发生的时候，我们也有相应的这种能力跟机制团队能够去快速做好相应的这种响应，所以那么呃今天也就是基于呃攻防视角之下，呃攻防视角之下，我们腾讯云之前在云上如何去帮用户来做防守，那么同时在实现这个安全。

效果的同时，还要去能够尽可能低的去降低我们在安全测的一些呃投入来去获取一个比较高的这个安全的效果，嗯首先我要说一下，就是腾讯安全服务团队，就是我们所在这个团队，其实目前负责腾讯云以及腾讯呃的用户的所有的安全事件应急响应工作，那我们这边其实在每年都会承接非常非常多的用户的一些安全事件，那么大多数用户啊呃，来找到腾讯的安全服务团队的时候，都会提一个问题，就是我怎么样快速止损啊，怎么样去快速的去帮助我去进行业务的溯源啊跟分析，那么呃，我们回去看一些像这种安全事件啊，那么安全事件其实大多数它的爆发的本质还是来源于基于漏洞的利用啊，当然前面我们的大很多专家都已经有讲过这一块，那么黑客在入侵的时候，其实他也是利用到了我们业务系统本身的一些脆弱性啊，那除了漏洞本身呢，其实我。

你会发现呃，基于这种供应链的安全，比如说钓鱼啊，然后一些信息的一些保护啊等等，也都会是现在很多攻击的一些常用的方式，那么比如说我会伪造一些相应的这种这个呃，一些这个用户的信息，一些邮件啊，同时我可能伪伪造一些相应这种通知来诱诱诱使用户去触发一些链接的这种点击，那么也会对我们用户来说造成一定的安全风险，那么基于这样的一个背景之下，其实我们就会去思考，为什么我们还是我们明明有部署一些安全产品啊，同时我们也有相应的这种安全的人员来去，呃，持续的来去做一些安全的加固工作，那么为什么这种R7安全事件它会还是会频频爆发呢？其实我们呃再去看这里的时候，我们去把问题的视角呃外化一些，就是其实我们做的大多数的工作还是建立说我防守我已经部署了什么，我已经呃有什么样的这个安全的产品，而这产品能够帮助我们去带来怎么样的安全防护能力。那么我们其实。

换一个视角，比如说我从黑客的视角，从攻击者的视角，那么攻击者其实他会他其实一方面他会去看我们目前安全产品的一些能力的构建啊，那同时其实他也会去针对于业务本身进行相应的一些安全风险的这种探测跟测试啊，比如说我事前去做一些安全的这种风险的一些呃排查信息的设计工作，然后去做内部的一些打点，横向移动，然后以及一些呃，最终达到我对于目标主机的一些提前的行为，所以从我们防守的维，防守者的维度，我们也要去针对我们的业务系统，我们的全部的网络的安全环境来去构建事前风险排查，事中持续监测以及事后应响应的能力啊，那我们也会发现在呃，在云上，或者是在我们大多数的用户里面，其实。

我们很难通过自己的一些人员或自己的能力去闭环云上的所有的这种安全的管理工作，尤其是对于我们这样的一些中小企业来说，那这里面的投入其实会是非常大，而且我们受限于人员的这个经历也好，或者是经验也好，其实都很难去真正达到一个呃，很高性价比或者很高效的一个结果，那么我们去看，我们认为在安全的运营的过程中，其实也要去在不同的阶段里面，那我们要实现的目标分别是什么？哦，那我们其实嗯，提炼下来一共是四个核心的困惑，首先是在建设的初期啊，我们买了很多的安全产品，我们要把安全的这个脆弱性要持续做，做好相的这种收敛，那么在安全的中期呢，我们要去验证啊，我有哪些安全的服务能够帮助我去检验我的安全的能力啊，是否真实有效，那么在中后期呢，我们要去尽快的能够去识别以及闭环我们所发现的安全的风险跟问题啊，然后最后呢，我们要去有一些相应的这种指标能够去验证我们的安全结果。

在持续去做有效性提升的啊，那么从这几个维度来看呢，其实呃，我们就在想，那我们应该如何去构建这样的一些安全运营的体系，所以腾讯呢，其实也是基于我们在腾讯自身，我们在整体安全运营的这个经验来看，我们也去提炼了一套相应的这个实践方法，那么。这一章呢，其实是腾讯云安全运营的总管啊，就是包括云，腾讯云自己去运营自己内部的一些业务的时候，其实也都是遵循这一套流程的，那我们一方面是从在前期的风险的引入控制，从我的系统本身的业务上线之前的一些安全的合规检测，那我们也需要做安全左移啊，然后来去持续的建立相应的种流程的标准啊，去做定期的这种评估啊，然后宣贯呢，然后以及人员意识的一些提升，那从前置位能够去尽可能去规避一些安全的风险，那这里面其实我们大多数用户可能会采用到的一些，呃，对外的一些可能检测的手段和方式，往往是比如说类似深度测试啊，代码审计啊，红蓝对抗，然后业务生权检测等等啊，通过这样的一些新械配置核查啊，通过这样的一些服务来去帮助我们从前置位啊，发现一些安全的风险跟问题，那么但是业务的上线以后呢，其实伴随着我业务的不断运行，其实很多漏洞啊，很多风险其实是持续会在爆发的，所以说我们在。

很很大一部分的这个安全的工作是在于我们后中后期啊，我如何在日常的过程中能够去做好风险，风险的持续发现啊，以及风险的防护，那么这里面会包含两个部分，一个是我们可能会部署一些安全的产品来去做一些日常的这种监控以及防御的能力的构建，那么同时呢，我们也会去构建一些检测啊，然后我们的这个运营的能力，比如说我是不是有大量的这个安全问题能够去做扫描和识别，比如说我部署的安全产品，我的产品的防疫策略是否有效啊，比如说我的安全事件出现以后呢，能不能去做及时的响应处置，那并且对于我们这个过程中所发现的所有问题来去做一下那种闭环跟改进啊，所以我们其实把安全大概分成了几个不同的阶段，从前期的呃，风险引入的控制，然后到中期的风险发现与保护，然后再到后期的这种响应处置以及闭环改进，那我们持续来看，安全的工作应该落地去做很多事情。

那么从这几件事情里面来看，其实嗯，我们也发现会有一些相应的这种挑战，就是如果我们要去做呃，做好安日常的这个安全运营，那我们应该认为怎么样的安全运营是一个比较好的安全运营，而且能够去真实带来相应的这种安全的效果，那这里来说，我们去提炼了几个关键点，首先是第一个是我们叫做卫信，就是我们首先要去建立公益者视角，然后以及防御者视角啊，要去建立一个不可信任的状态，比如说我们现在要去持续对自己的安全要做一些相应的一种检视啊，比如说我们的用户信息是不是能够被黑客所利用啊，我们部署的产品防御体系是不是真实有效的啊，有没有失效，然后我们的采呃安全策略的配置是不是呃适配我们的业务的发展啊，以及我们的业务的行为有没有一些安全的异常哦，所以我们要去呃对整个安全要有一些相应的这种问题跟挑战，那么同时呢，我们也是。

呃，在呃，基于这个挑战，我们再去开展日常的工作的时候呢，那我们就要去去看啊，我如何能够去利用一些第三方的一些经验啊，能够去快速的匹配到我们的这个日常安全工作，让我能够有迹可循啊，同时呢，我我能够去应用到一些最佳实践的模板啊，所以腾讯云本身呢，我们也将我们自身在整个运营运营的经验呢，做了相应的这种陈列，就基于呃，IPDR这样的一套模型，那么一方面是沉淀腾讯云自身的一运营，然后把这些经验同时通过我们的平台来去做承载啊，保证整个服务质量的呃交付，那么我们在这里面其实也会去调用一些腾讯自研以及外部行业一些领先的安全的工具，来来去应用到整体的服务中啊，最终我们通过实验室的这种安全专家来去提供啊，然后那么在这个过程中呢，其实我们同样还是要去建立攻防的视角啊，持续去感知我的风险，以及呃，比如说有一些位置的一些安全的风险，位置的安全的这个隐患啊，都要去做持续的感知，然后最终呢，通过。

一些指标化的数据来去量化我们的安全的结果，然后去实用实际的这种数字来去证明我们的安全其实是持续在去做有效性提升的啊，比如说我们的安全事件是否及时全面的闭环啊，比如说我们的脆弱性是不是有去做及时的收敛啊，安全结果的指标的度量体系应该如何去建建立啊，我们的安全工作应该如何去向上汇报啊，所以我们其实在呃这所以其实我们呃整体来提供的是一套呃安全托管的腾讯安全托管的服务，那么它其实是帮助我们在呃构建了一些基础的安全能力之上，我们应该怎么样去把安全的结果去做好啊，那它更多来还是通过我们的工具啊，人员，还有我们的流程平台来去，呃，持续去对我们用户去带来相应的这种服务，那我们很很常见的一句话就是我们希望能够用客户的一个人啊，一个安全团一个人，然后配上MSS的整个安全团队，能够基本的去闭环我们在云上所有的安全的风险跟问题啊，我们在一加MSS。

那那我们在整个M去做的时候，我们其实我们就会去构建他们的流程体系，方法就是我们前面讲的IP，那我们要去做建呃，建立基于公益的视角的这个风险的检测的识别，然后同时呢，我们要去做安全防御体系的能力的验证啊，漏洞的情报，最新的感知啊，以及共享，然后我们要结合业务行为来去做相应的安全监控，比如说安全事件，安全告警，以及以及一些异常的这个安全行为啊，那针对于所有的安全问题呢，要要进行这个风险的处置以及加固，那么一旦发生安全事件以后呢，我们要去及时的提供异性响应的这个能力，来去快速的去闭环这个安全事件，然后同时降低这个事件对于我们内部产生的一些安全的风险的影响，啊，那么基于这一套模型里面呢，其实嗯呃，我们会提供两种不同的。

类型的服务啊，一种就是我们可能是基于产品本身啊，产品告警以及产品的这个策略有效性的呃防有效性的验证，然后同时提供安全事件的应急响应啊，这个一些标准版的模型的服务的体系，那么同时呢，我们也可以去提供像呃增强版的服务，那么它其实以整构建整个安全能力的提升为主啊，从我们的呃识别检测啊，漏洞发现，漏洞防御等等这个一系列全面的安全问题的提炼啊提升为主，以综合题提升我们在整体的安效果为目标啊，所以这两种其实不同类型的版本，其实也可以去适配我们在云营上托管的一些安全需求，那么最终再去做的时候呢，其实我们会是这样来去做，就首先呃，腾讯安全服务团队其实是构建了整个能力池，包括我们的一些服务所需要的一些资源啊，经验，工具以及服务的人员，那么我们会通过呃，腾讯云的后端的这个控制台来去呃管理我们的用户，然后具体呃进行相应的这种数据的分析啊，而且的分析研判，然后。

用户的管理，然后在呃，最终我们正在跟客户去交付的时候呢，其实我们会通过控制台，以及我们叫风险台账，就是我们会跟用户来去建立一个整体的风险台账，比如说我在日常的这个服务过程中啊，我遇到的一些所有的问题，我们都会通过台账的形式来去做啊，去推进，那么这些风险台账呢，我们会区分相应的这种优先级，所以你可以去看到，作为用户而言，那你所有接收到的信息都是通过服务的专家进行了分析呃，过滤，然后把最重要以及最需要去处理的一些安全问题呢，及时的同步给到大家，那么作为用户而言，我们只需要去关注我们在整个服务团队，他推送出来的最终的这样的一个报告就可以了啊。

那么呃这那么我们在整个沟通里面，其实我也是基于服务呢，我们会构建整个服务的团队跟呃呃人员，那我们会去提供这个用户的客户经理哈，我们在整个项目的这个项目经理，包括我们其实也会把安全产品能力做好相应的这种拉通，所以从整个安全的维度，我们可以基本去啊闭环，大量的这种安全的监控啊，响应啊，以及评测的工作啊，那么同时呢，我们也会跟用户去建立相应的这种沟通机制，比如说我们的这种告警跟应急，我们是以小时级为单位来去做啊，呃，那个做做同步，那么针对一些比较重要的安全事件，其实我们也是以分钟级的为单位来去进行相应的同步的啊，那么同时呢，针对于我们的这个比较增强的版版本呢，我们也会去提供这样的日报的能力啊，以及我们按周去检视我们的安全工作闭环是不是有效，我们来每周都会来去做有效性的这种验证啊，那么按月来说呢，去提供这个综合化的这个评估的能力，以及以年维度来去看我们整体安全有效性的这个提升的这个呃程度啊，然后来去对对我们来。

面进行相应的这种，呃，启示跟这个提升。那么基于这样的一个模型之下呢，其实我们会建立很多流程啊，在日常的工作中，比如说我们基于安全风险的管理流程，包括检测、分析报告，测试以及修复闭环啊，而且事件的这个流程，比如说我们的这个事件的对每个事件的这种响应的级别，所以比如说如果这套流程，比如说通过用户自建，那么其实他会构建非常庞大的一些人员的体系，那么通过服务团队呢，其实呃，我们会基于这样的一些流程，会对人员做好相应的这种排班以及分工，那么我们会跟呃进行定期进行相应这种预警跟加固，所以你可以发现，对用户而言，我们最终需要去处理的就是我们把呃安全的风险跟问题啊，通过企业微信或者微信的这种沟通的群的方式呢，来去同步给到我们的用户，那么大家只要去关注在这个问题中啊，我们去啊，最需要去紧急处理的是哪一些就可以了啊，那除了流程以外呢，其实我们也会去建立相应的这个。

那个呃，事件的定级的这种标准跟规范啊，比如说我针对不同事件，其实它的响应的级别应该是不同的，那我们也会针对上来去定义呃，定义这个事件的能力，那针对于不同的事件呢，其实它也会有相应的这种服务的团队来去做跟踪跟处理啊，那比较典型就是我们比如说我们针对于呃，一般的安全事件，那我们就基础团队来去做，那针对于较大甚至是重大的安全事件，其实它会层层上升啊，甚至到我们在整个实验室的这个安全专家能力，所以其实发现那么MSS它其实共享的一个团队哦，你通过一些比较呃低成本的一个方式来把安全的这个工作托管出来，那么这个团队里面呢，我们会对于人员的能力做好相应这种分工，然后以及这个事件小团的这个机制，所以呃，用户呢，其实可以以非常高性价比的形式来去想一享受到一个整体服务团队啊，它能够带来的一些工作的价值哦，那我们在整个服务的过程，政府过程中呢，也是分成不同的项目组啊，呃，工作组，然后来去呃，基于不同的工作内，工作内容来。

去提供相应这种服务，那么可以看到整体的这个呃，云上的密安全服务呢，其实我们是通过联合实验室来去共同提供的，所以可以看到所有的这个安全的呃工作也好，安全的这个对接的这种服务团队也好，也都是来自来自于腾讯安全服务团队，以及云你实验室的这个呃合作团队啊，所以这个安全服务的整体的能力上面，其实也是能够去做相应的这种行业保证啊，那么同时因为前面也讲到整个腾讯云的安全服务团队目前是承接。那个公司所有的应急响应，所以其实我们的这套应急响应的服务中心也是为也是可以去向我们的MS的服务客户来去。呃，作为能力的这个支持的啊，比如说我们遇到一些安全事件以后，我们应该怎么样去处理啊，我们的服务团队都能够去快速的进行相应的这种跟踪以及响应啊，那这里其实也会对我们的中小企业去提供一次相应的这种呃呃呃一个福利吧，那我们其实后续如果说有遇到安全事件，呃，腾讯云的安全服务应急响应中心，我们可以在紧急时刻啊为您提供一次免费的应急响应，所以如果说您呃遇到一些安全事件，呃，需要有一些人员团队来去处理，那您可以去联系呃腾讯云这边的安全服务团队，然后我们这边来去帮助您去做问题的这个闭环及处置。

嗯，那这边其实也是我们一些典型的云商客户的一些案例啊，那当然这里就不做过多的过多的介绍了啊，如果大家有些兴趣，我们也可以希望能够在呃下面的时间能够跟大家做一些呃探讨啊以及讨论啊，也非常感谢大家能够在今晚抽出这么多的时间啊，在这里跟我们一起来去做一下相应的这种分享哈，那我的部分就到这里结束了，我们接下来时间交给主持人。好，感谢王老师带来的精彩分享，那接下来呢，就是我们最后一轮的抽奖了，我们将抽取啊一位幸运观众送出由腾讯云特别提供的游戏耳机，那也这也是今天晚上的最后一轮，也是最大的一个奖啊，那现在呢，我们线上的嘉宾也特别感谢您能守候到现在，那可以点击我们屏幕中间的这个大礼包就可以参与我们的抽奖了。

好，欢迎我们线上的嘉宾可以积极参与哈。恭喜这位中奖的幸运观众啊，那您就获得了今天我们本场活动的最大奖，我们的游戏耳机，那今天的三轮抽奖的一共有19位嘉宾获奖，请大家根据中奖的提示准确填写您的邮寄地址，如果没有呢，也可以参与我们的呃。添加我们的小助手小西哈，可以来联系我们的工作人员来准确的提供您的邮寄地址，那再次感谢大家的参与。

感谢今天我们五位老师为我们带来的精彩分享，数字时代，安全是数字化转型的基础，更是企业的生命线，希望呢，能够通过本期的Co直播间，能够让企业更加了解应对恶意挖矿的攻守之道，更好的护航我们企业的数字化转型。那么本期第74期的Co直播间呢，就到这里全部结束了，再次感谢我们线上观众朋友们的参与和陪伴，也欢迎大家关注微信公众号视频号Co时代网，收看本期Co直播间的精彩回放内容，了解更多的行业热点话题。大家啊，也可以添加我们C时代的官方小助手小溪，微信号是c IO times，获取五位专家的演讲资料，当然呢，我们也会持续推出更多的精彩活动，欢迎大家持续关注我们，下期再见。